Ubuntu सेवाओं में कमजोरियों को खोजने के लिए कैसे? [बन्द है]


1

मेरे पास एक ubuntu सर्वर चल रहा है। आज मैंने पाया कि सर्वर हैक हो गया और इसका उपयोग DDoS के लिए amazon दुरुपयोग की रिपोर्ट के माध्यम से किया जा रहा है।

मुझे सर्वर पर निम्नलिखित चीजें मिलीं।

निम्नलिखित संदिग्ध फाइलें जहां सर्वर पर हैं।

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

निम्नलिखित प्रक्रिया चल रही थी

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

मैं भाग गया clamavऔर इसे हटा दिया /tmp/huizhenऔर /tmp/sishenफाइलें लेकिन प्रक्रियाएं अभी भी चल रही थीं weiwei.plऔर ./huizhenइसलिए मैंने उन्हें मैन्युअल रूप से मार दिया।

मेरे पास सर्वर पर चलने वाली निम्नलिखित सेवाएं हैं।

  • SSH - डिफ़ॉल्ट पोर्ट 22 का उपयोग नहीं, केवल कुंजी प्रमाणीकरण
  • MongoDB - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
  • Memcache - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
  • NodeJS - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
  • Tomcat - 8080/8443 पोर्ट ax2 webservice और solr के लिए सार्वजनिक हैं

मेरी धारणा यह है कि हैकर को कुछ टॉमकैट / एक्सिस 2 / सॉल भेद्यता के माध्यम से मिला क्योंकि प्रक्रिया टॉमकट के समान उपयोगकर्ता समूह का उपयोग करके चल रही है।

मैंने अभी के लिए 8080/8443 पोर्ट को ब्लॉक कर दिया है और एक नए के साथ सर्वर को रिप्लेस किया जाएगा। टॉमकैट नगनेक्स के माध्यम से एक अलग सर्वर से सुलभ होगा। मैंने अनअटेंडेड-अपग्रेड का उपयोग करके सुरक्षा पैच भी लगाए हैं ।

समस्या यह है कि हैकर कैसे मिल गया और ट्रोजन को लगाया। सुरक्षा को और कड़ा करने के लिए मैं और क्या कदम उठा सकता हूं।


2
भेद्यता लगभग निश्चित रूप से एप्लिकेशन टियर पर है, इसलिए अपने वेबसर्वर कॉन्फ़िगरेशन, और आपके द्वारा चलाए जाने वाले एप्लिकेशन के कॉन्फ़िगरेशन की पुष्टि करें। पुष्टि करें कि आपके वेबसर्वर और एप्लिकेशन घटक (जैसे पर्ल रनटाइम) अप टू डेट हैं।
फ्रैंक थॉमस

एक बार सर्वर से छेड़छाड़ हो जाने पर, संक्रमण को पूरी तरह से साफ करना शायद इसके लिए अधिक परेशानी की बात है। एक पुनर्स्थापना पर विचार करें।
बेन एन

@FrankThomas, धन्यवाद, आप सही थे। यह वास्तव में एप्लिकेशन टियर में था। ax2 व्यवस्थापक कंसोल सार्वजनिक रूप से डिफ़ॉल्ट un / pw के साथ सुलभ था। उन्होंने इसे पाया और एक webservice को अपलोड किया जो कमांड को निष्पादित करने, शेल एक्सेस प्राप्त करने, फाइल बनाने आदि जैसी निम्न स्तर की सुविधाओं तक पहुंच प्रदान करता है
बिटकॉइन

@ बनिए, यह पहली बात है जो मैं करने जा रहा हूं लेकिन बात यह है कि यह पहली बार नहीं हुआ है इसलिए मुझे वह दरवाजा ढूंढना पड़ा जहां से वे अंदर जा रहे थे।
बिटकोट

जवाबों:


1

यह काफी वाजिब सवाल है। कड़ाई से बोलते हुए, इसका जवाब देने के लिए आपका सबसे अच्छा शर्त यह है कि आपके सिस्टम को फ्रीज करना और फोरेंसिक परीक्षण करना होगा। वायरस को हटाने सहित आपके हिस्से पर किसी भी बाद में हस्तक्षेप, बदल जाएगा और संभवतः आपके घुसपैठिये द्वारा पीछे छोड़ दिए गए किसी भी रोटी के टुकड़े को पूरी तरह से मिटा देगा।

यह देखते हुए कि इस मार्ग नहीं रह गया है आप के लिए खुला है, सबसे अच्छी बात एक भेद्यता स्कैनर, एक प्रोग्राम का उपयोग करने के लिए है यानी क्रम में अपनी स्थापना पर जोर-परीक्षण में वास्तव में बनाया गया है। बहुत हो सकता है, आप Google को केवल शब्द कह सकते हैं Vulnerability Scanner, लेकिन अब तक सबसे अच्छी ज्ञात नेसस है । यह कई संस्करणों में आता है, अलग-अलग लाइसेंस के साथ मुफ्त में भुगतान किया जाता है, और यह काफी महंगा हो सकता है, संभवतः इससे अधिक आप बाहर कांटा करने के लिए तैयार हैं।

हालाँकि, इसका एक मुफ्त संस्करण भी है, जो काली लिनक्स पर पहले से स्थापित है । पूरी तरह से फ्री होने के बावजूद आपको इसे रजिस्टर करना होगा। हम में से कई लोग लैपटॉप पर वीएम पर इसे स्थापित करके काली का उपयोग करते हैं, फिर अपने घरों के बाहर से तनाव-परीक्षण करते हैं, यह देखने के लिए कि कौन से दोष (= गैर-पैचेड, ज्ञात कमजोरियां, सबसे अधिक बार) अनुप्रयोगों पर चल रहे हैं इंटरनेट का सामना करने वाला सर्वर।

ऐसे मार्गदर्शक हैं जो आपको सिखाते हैं कि पूरे इंटरनेट पर कैसे उपयोग किया जा सकता है, और आप इसे अपने लैन के भीतर भी आज़मा सकते हैं (यदि आप अपने फ़ायरवॉल पर भरोसा करते हैं), और यहां तक ​​कि एक ही पीसी के भीतर से, यदि आप एक वीएम के रूप में काली चल रहे हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.